numpy
Corrigido em
1.13.3
A vulnerabilidade CVE-2017-12852 afeta a biblioteca NumPy, especificamente a função numpy.pad em versões 1.13.1 e anteriores. A ausência de validação de entrada permite que um atacante forneça uma lista ou ndarray vazia, resultando em um loop infinito e, consequentemente, um ataque de negação de serviço (DoS). A vulnerabilidade foi publicada em 15 de agosto de 2017 e a correção está disponível na versão 1.13.3.
Um atacante pode explorar essa vulnerabilidade enviando dados maliciosos para a função numpy.pad, forçando-a a entrar em um loop infinito. Isso consome recursos do sistema, tornando-o indisponível para usuários legítimos. O impacto principal é a interrupção do serviço, podendo afetar aplicações que dependem do NumPy para processamento de dados. A exploração bem-sucedida pode levar à indisponibilidade completa do sistema, dependendo da criticidade da aplicação afetada e da capacidade de recuperação. Embora não haja acesso direto a dados sensíveis, a interrupção do serviço pode ter consequências significativas para a continuidade dos negócios.
A vulnerabilidade CVE-2017-12852 foi divulgada publicamente em 15 de agosto de 2017. Não há evidências de exploração ativa em campanhas direcionadas, mas a disponibilidade de informações sobre a vulnerabilidade a torna um alvo potencial para ataques oportunistas. A pontuação de severidade CVSS de 7.5 (ALTO) indica um risco significativo. Não foi adicionada ao KEV (Known Exploited Vulnerabilities) da CISA até o momento.
Status do Exploit
EPSS
0.81% (percentil 74%)
Vetor CVSS
A mitigação primária para CVE-2017-12852 é a atualização para a versão 1.13.3 ou superior do NumPy. Se a atualização imediata não for possível devido a incompatibilidades, considere implementar medidas de proteção temporárias. Monitore o uso da CPU e memória do sistema para detectar picos incomuns que possam indicar um ataque DoS. Implementar firewalls de aplicação web (WAF) com regras para detectar e bloquear solicitações maliciosas que possam explorar a vulnerabilidade também pode ajudar. Após a atualização, confirme a correção executando testes de unidade e integração para garantir que a aplicação funcione corretamente com a nova versão do NumPy.
Nenhum patch oficial disponível. Procure alternativas ou monitore atualizações.
Análise de vulnerabilidades e alertas críticos diretamente no seu e-mail.
CVE-2017-12852 is a Denial of Service vulnerability in NumPy versions 1.9.3 and earlier. An attacker can trigger an infinite loop in the numpy.pad function, causing a DoS.
If you are using NumPy version 1.9.3 or earlier, you are potentially affected. Check your NumPy version using pip show numpy or python -c "import numpy; print(numpy.version)".
Upgrade to NumPy version 1.13.3 or later. This version includes a fix for the input validation issue that causes the DoS vulnerability.
There is no current evidence of CVE-2017-12852 being actively exploited in the wild, but public POC code exists.
Refer to the NumPy security advisories and the related discussion on the NumPy mailing list for details: https://github.com/numpy/numpy/issues/9384
Envie seu arquivo de dependências e descubra na hora se esta e outras CVEs te atingem.
Envie seu arquivo requirements.txt e descubra na hora se você está afetado.